修改或隐藏web容器的版本号和自定义错误页面

描述:未调整的web容器,当用户访问该页面下的一个不存在的路径时,会抛出该网页使用的是什么web容器、版本号等信息。这些关键信息可能会被其他人利用,并有针对性地针对特定的版本号去寻找漏洞并发起攻击,对系统存在一定的安全性风险。
1.png

我们经常了解到,可以利用nmap、Kali等工具对web站点进行弱扫描和漏洞扫描,我们可以对站点的错误页面进行一个调整,屏蔽或者修改掉错误页面所显示的信息。达到隐藏敏感信息的效果。


可以通过修改配置文件,修改显示的版本号,和自定义404错误页面来屏蔽掉敏感信息。这样既可以实现告诉用户访问了一个不存在的页面时,也隐藏了相关的程序版本信息。

《一》
1.以apache-tomcat-7.0.47版本为例,修改错误页面显示的版本号:
先查看需测试修改的容器错误页面信息。
2.png

2.切换到tomcat主目录下,并进入到lib/目录下
3.png

3.递归创建并进入org/apache/catalina/util/目录
4.png

4.编辑文件ServerInfo.properties,并自定义显示的版本号参数,然后重启tomcat服务即可生效
5.png

混淆掉正确的tomcat版本。
6.png

这个方法对于有经验的人而言,一眼就可以判断出使用的是tomcat,只是无法得知具体的版本。


《二》
以apache-tomcat-7.0.47版本为例,自定义错误页面,完全修改掉tomcat默认的404页面:

1.先查看需测试修改的容器错误页面信息。
2.png

2.在webapps/ROOT/下新建一个自定义的错误页面文件404.html
7.png

3.编辑conf/web.xml配置文件,并在末尾</web-app>前一行添加错误页面的代码
8.png

如果是不同的工程目录中,可在不同的工程目录中加入404.html页面文件。如果不加404.html文件,则访问到不存在的页面会显示一个空白页面。
9.png

4.保存后,重启tomcat服务生效。
10.png

总结:
1.如果你有强迫症觉得默认的错误页面不够美观的话,此方法可以自定义一个更加友好美观的错误页面。

2.此方法在一定程度上能有障眼的效果,当然如果真的遇到图谋不轨的脚本小子,通过浏览器的FXX开发工具也能抓包识别到HTTP连接状态信息,或者拿着工具对站点疯狂地scan的话,估计这障眼法也无济于事啊,所以应该需要时常关注相关的安全资讯,在容器爆出漏洞时,想办法修复web漏洞或者规避漏洞的恶意使用,才是正确之举。毕竟,漏洞被发现了,不修复,只能坐等别人fuck。

标签: security, web

添加新评论